metamorworks - stock.adobe.com

Sumo Logic s’invite sur le marché des alternatives au SIEM

Ce spécialiste de la gestion des journaux d’activité vient d’annoncer l’acquisition de Jask, une jeune pousse qui se pose en concurrent de systèmes traditionnels de gestion des informations et des événements de sécurité.

Sumo Logic vient d’annoncer le rachat de Jask. Dans un communiqué de presse, Ramin Sayar, Pdg de l’éditeur spécialiste de la gestion des logs, justifie l’opération : « les clients cherchent une nouvelle approche qui les aide à dépasser la peine et la complexité d’un monde de plus en plus sans périmètre ». Et c’est justement ce que propose Jask.

Greg Martin et Damian Miller ont fondé Jask à l’été 2015. Et tout deux connaissent bien le domaine de la sécurité informatique et en particulier, le travail dans les centres opérationnels de sécurité (SOC), notamment avec les systèmes de gestion des informations et des événements de sécurité (SIEM).

Greg Martin, Pdg de Jask, est ainsi un ancien d’ArcSight, mais également fondateur et ancien directeur technique de ThreatStream, éditeur d’une plateforme de gestion du renseignement sur les menaces rebaptisée depuis Anomali. Damian Millier, directeur stratégie de Jask, est quant à lui passé par McAfee/Intel Security où il a été consultant solutions. C’était après 8 ans passé chez HP, dans le domaine de la sécurité. Avant cela, il était chez ISS, bien avant son rachat par IBM en 2006.

C’est de ces expériences qu’est née l’idée de Jask : une plateforme cloud de gestion des incidents de sécurité mettant à profit des techniques d’intelligence artificielle – dont bien sûr l’apprentissage automatique, mais également l’apprentissage profond – pour aider les analystes de SOC à être plus efficaces, malgré des ressources humaines toujours limitées. Dans un entretien avec la rédaction, plus tôt cette année, Greg Martin rappelait un constat largement partagé : « nous n’avons pas assez de ressources qualifiées disponibles pour faire face à la fréquence et à la sophistication des attaques ». Pire encore, pour lui, le rythme est tout simplement intenable humainement.

Pour répondre à cela, Jask a développé une plateforme à partir d'Apache Spark, qui promet tout d’abord de consolider automatiquement les événements de sécurité relatifs à une alerte pour ne présenter que celle-ci, de manière complète et cohérente, quelle que soit l’étendue chronologique considérée. Elle s’appuie pour cela sur un moteur de corrélation qui apprend graduellement et en continu des actions des analystes, à la manière d’algorithmes de machine learning supervisé.

L’alimentation peut se faire via des logs, ou des alertes remontées par des systèmes de détection, sur le réseau ou les hôtes, notamment. Des API sont là pour ça, et les capacités d’intégration sont déjà étendues. Dans le courant de l’été, Jask a d’ailleurs annoncé une intégration avec les pare-feu de Cisco, mais aussi sa solution de suivi des menaces en profondeur, AMP, ou encore son service Umbrella. Un peu plus tôt, il avait annoncé le support de l’API du graph de sécurité de Microsoft.

Le volet automatisation n’est pas oublié. Mais pas en s’appuyant sur des playbooks statiques à la manière des outils de SOAR. L’extension du domaine de l’automatisation est toutefois faite graduellement, « pour gagner la confiance des analystes ». Au printemps, la plateforme était capable de détecter des anomalies et de lancer automatiquement des requêtes d’investigation comme le ferait un analyste. L’ensemble est consolidé et présenté à l’analyste, assorti de recommandations.

A charge pour lui d’étiqueter ces recommandations, les « insights » fournis par la plateforme : c’est là qu’on entre dans la boucle d’apprentissage, pour préparer les phases « trois et quatre » d’évolution de la plateforme. Là, « le système ne sera pas simplement en mesure de recommandation des actions, mais pourra éventuellement les effectuer automatiquement lui-même si besoin ».

Greg Martin voyait alors Jask à l’étape 2 d’une progression qui en comporte cinq et qu’il prévoyait de dérouler au fil du temps. Aujourd’hui, il prend pour cela les fonctions de vice-président et directeur général de la division sécurité de Sumo Logic.

Cette annonce souligne, s’il le fallait encore, le dynamisme retrouvé d’un marché de l’outillage du SOC qui semble entré dans une phase de transformation en profondeur. Les acteurs traditionnels tels qu’ArcSight, IBM ou Splunk, apparaissent ainsi de plus en plus défiés par de nouveaux entrants tels qu’Exabeam, Siemplify, Securonix, ou encore SecBI. Et il faut bien sûr compter avec Elastic, Chronicle Backstory, et Microsoft. Ce dernier vient d’ailleurs de profiter discrètement de sa conférence Ignite pour revendiquer plus de 12 000 clients, déjà, à son offre Sentinel officiellement ouverte depuis la fin du mois de septembre.

Pour approfondir sur Gestion de la sécurité (SIEM, SOAR, SOC)